Кристина Парфентьева
Олег СенченкоПроактивное противодействие использованию слабых паролей доменной инфраструктуры на базе Microsoft Active Directory
Кристина ПарфентьеваОлег СенченкоКристина ПарфентьеваОлег СенченкоКристина ПарфентьеваОлег СенченкоПротиводействовать использованию простых паролей можно используя доменные групповые политики для определения требований к сложности паролей, частоте смены паролей и параметрам блокировки учетной записи. Также можно использовать решение для проактивного блокирования простых паролей (например, когда пользователь меняет пароль или когда его устанавливает системный администратор).
Парольная политика для учетных записей пользователей домена настраивается в политике Default Domain Policy. Эта политика связана с корнем домена и обязательно должна применяться к контролеру домена с FSMO ролью PDC Emulator.
Политики паролей находятся в разделе редактора GPO:
Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики учетных записей → Политика паролей
(Computer Configuration → Windows Settings → Security Settings → Account Policies → Password Policy)
Новые параметры парольной политики будут применены ко всем компьютерам домена в фоновом режиме в течение некоторого времени (например, 90 минут) или при загрузке компьютера, либо можно применить новые параметры групповых политик немедленно, выполнив команду gpupdate /force на конкретном компьютере.
Вы можете изменить параметры политики паролей из консоли управления GPO или с помощью PowerShell-командлета Set-ADDefaultDomainPasswordPolicy.
Например:
Set-ADDefaultDomainPasswordPolicy -Identity exampledomain.ru -MinPasswordLength 14 -LockoutThreshold 10
Рисунок 1. Рекомендуемые значения параметров групповой политики
На текущий момент нет однозначного мнения, каким должен быть максимальный срок действия пароля. При слишком коротком сроке действия повышается нагрузка на подразделение, занимающееся поддержкой ИТ-инфраструктуры, так как очень часто смена пароля приводит к блокировке учетной записи пользователя.
Типовые причины блокировки при смене пароля:
При слишком большом сроке увеличивается вероятность использования паролей, полученных из публичных утечек. Чаще всего срок действия пароля устанавливается в диапазоне от 40 до 180 дней. Решение о максимальном сроке действия пароля предлагается принимать исходя из условий и особенностей деятельности конкретной организации.
Эта политика является одной из мер, которые позволяют обнаружить атаку, совершаемую методом подбора паролей, и замедлить злоумышленника.
Рисунок 2. Рекомендуемые пороговые значения блокировки
Пороговое значение блокировки рекомендуется подбирать экспериментально, ориентируясь на количество запросов пользователей в техническую поддержку ИТ по поводу блокировки учетной записи.
Рекомендуется установить инструмент проактивной защиты от использования слабых паролей Strongpass согласно . В зависимости от задач, возможностей и требований создайте свой собственный список слабых паролей и определите дополнительные ограничения к паролям согласно инструкции, доступной .
Пример таких дополнительных ограничений — запрет использовать в пароле:
qwe, !@#, *ik и другие;qqq, ddd, EEe и другие;123, 1978 и другие;love, sun, June, Microsoft, anna, ivan и другие.